Datenschleuder des tages

Geht es um Open Data, besteht bei vielen deutschen Behörden noch Nachholbedarf. Das niedersächsiche Ministerium für Wissenschaft und Kultur (MWK) ist ungewollt vorgeprescht – zahlreiche Anträge auf Fördergelder waren nahezu ungeschützt einsehbar. Und damit auch Namen, Adresse, Ausweiskopien, Bankdaten und vieles mehr. Betroffen war das Portal für „Online-Antragsverfahren“, auf dem Künstler, Vereine und Museen Fördergelder oder Stipendien beantragen können […] Um die sensiblen Daten der Antragssteller abzurufen, musste man kein begnadeter Hacker sein: Es genügte, einen Account anzulegen und eine ID-Nummer in der URL zu ändern. Der betroffene URL-Parameter trug den eindeutigen Namen „Nutzer-ID“, sein Inhalt war eine dreistellige Zahlenkombination – eine Einladung für Datendiebe […] Ziemlich sicher hätte man dort auch die hinterlegten Daten, also etwa die Bankverbindung ändern können, auf die die Auszahlung erfolgen soll – das haben wir jedoch nicht ausprobiert

🤦

Ich wünsche auch weiterhin ganz viel spaß beim festen glauben an den überall lufteleicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Gerade, wenns um geld geht, wird da nur nach den allerhöchsten maßstäben des zertifizierten datenschutzes mit exzellenzprädikat vorgegangen, so wie in diesem beispiel, wo man das esoterische häckertuhl „webbrauser“ verwenden musste, um an die daten zu kommen oder gar das bewilligte fördergeld anderer leute aufs eigene konto umzuleiten. Beim staat sind eure daten ganz besonders sicher, deshalb seid gefügig wie die schäflein auf dem weg zum schlachthof, wenn der staat immer mehr daten über euch sammeln will, bis hin zur ständigen überwachung durch eine anlasslose vorratsdatenspeicherung! Was kann dabei schon schiefgehen? Die liste wäxt und wäxt und wäxt.

Freut ihr euch auch schon so auf die „elektronische pazjentenakte“ unter der fuchtel des kompetenzgroßbolzens Jens „wir sind bestens auf corona vorbereitet“ Spahn?

Ach ja, das einstige fachmagazin c’t des…

Heise: Ehemaliger Fachverlag

…ehemaligen fachverlages heise, dieses früher einmal dickste männermagazin der welt, hat in einem anfall geistiger verwesung den ganz extratollen vorschlag gemacht, einfach längere und zufällig generierte IDs statt fortlaufender nummern zu verwenden. Dieser vorschlag ist gekwirlter bullschitt. ES HAT VERDAMMTE SCHEIẞE NOCHMAL ÜBERPRÜFT ZU WERDEN, OB DER GERADE ANGEMELDETE BENUTZER DIE RECHTE HAT, DIE ANGEFORDERTEN DATEN ZU SEHEN ODER ZU BEARBEITEN! Und zwar immer. Alles anderes ist fahrlässige und gefährliche datenschleuderei. Meine fresse! Die kleine zusätzliche SQL-abfrage wird so eine webseit schon nicht ausbremsen. Vor allem, wenn es um geld geht. Aber auch schon, wenn es um persönliche daten geht. Eigentlich sogar, wenn es um fast nichts geht. Wer hat den leuten bei heise ins gehirnchen geschissen, dass sie das nicht mehr wissen? 💩🧠

Oder will sich die c’t-redakzjon mit solchen klaffenden kompetenzlücken etwa bei niedersäxischen behörden bewerben? :mrgreen:

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.